portræt af Thomas Birk Kristiansen

Artikel: Udbredt slendrian med sundhedsdata – her har du listen

Politik, Sundhed

 

portræt af Thomas Birk Kristiansen
Praktiserende læge Thomas Birk Kristiansen

af Thomas Birk Kristiansen (c)
Praktiserende Læge

LISTEN OVER SKANDALER MED SUNDHEDSDATA ER LANG

Det offentliges omgang med danskernes følsomme sundhedsdata er løbet løbsk. Det viser den seneste sag hvor 5.282.616 danskeres helbredsoplysninger, sammen med CPR-nummer, blev afleveret på 2 CDer til det private firma Chinese Visa Application Center, der arbejder for de kinesiske myndigheder. Brevet var sendt anbefalet fra Statens Serum Institut (SSI) til Danmarks Statistik (DST), men postbuddet afleverede på forkert adresse, hvor den uretmæssige modtager kvitterede for brevet. Kuverten blev åbnet, men angiveligt blev indholdet på de 2 CDer hverken læst eller kopieret.

Grundlaget er at en medarbejder hos Chinese Visa Application Center, i et skriftlig svar, angiver at hun efter den fejlagtige kvittering for modtagelse, også ved en fejl, åbnede kuverten, men ikke åbnede indholdet på de 2 CDer, som ikke var krypteret, men straks spadserede over og afleverede de 2 CDer til rette modtager DST (1). DST ligger, ifølge KRAK, en halv kilometer fra Chinese Visa Application Center.

Kina-udleveringen er een af mange

Sagen er blot en af mange sager, der viser at omgangen med følsomme personoplysninger i Danmark er løbet løbsk. Adgangen til ølsomme sundhedsdata og omfanget af udleveringer fra danske registre og databaser er ganske enkelt enorm. Et enkelt udtræk kan, som i Kina sagen, i sig selv omfatte hele den danske befolkning. SSI – nu Sundhedsdatastyrelsen (SDS) – vurderer at der i alt laves godt 400 udtræk årligt fra de registre  instituttet administrerer (2, 3). Udlevering, af selv meget omfattende registerudtræk, sker uden forudgående videnskabsetisk vurdering. Det er Sundhedsstyrelssen (SDS), der på egen hånd vurderer nødvendigheden af,  om projekter er af så væsentlig samfundsmæssig betydning, at alle oplysningerne kan udleveres med CPR-nummer.

Når der indsamles, behandles og rundsendes så enorme mængder personfølsomme data, på daglig basis, er det uundgåeligt at der før eller siden sker fejl. Risikoen for brud på regler og sikkerhedsproceduerer stiger simpelthen, og eksemplerne er mange.

Dansk Almenmedicinsk Database (DAMD) høstede i en periode på over 7 år oplysninger om de praktiserende lægers diagnosekoder på alle tilmeldte patienter. Registret indeholdt diagnosekoder for hele den danske befolkning. Region Syddanmark var dataansvarlig myndighed for registret. Efterfølgende undersøgelser afdækkede, at driftsenheden DAK-E, de godkendende sundhedsmyndigheder (Tidligere SSI nu SDS) og embedsmænd i Sundhedsministeriet fra starten i 2007 var bekendt med at dataindsamlingen var ulovlig. Alligevel fortsatte den ulovlige dataindsamling frem til ultimo 2014 (4).

• I 2015 blev 2.500 danske diabetikeres personlige helbredsoplysninger sat til salg hos en amerikansk data-købmand. Salget var rettet mod medicinalvirksomheder, der vil bruge oplysningerne til direkte markedsføring. Forbrugerrådet frygtede at diabetes data var lækket fra offentlige systemer (5).

• I 2012 og 2013 udleverede Statens Serum Institut (SSI)  22 dataudtræk fra CPR-registret, Landspatientregistret og dødsårsagsregistret til internationale medicinalvirksomheder som Astellas Pharma, AstraZeneca og Pfizer. I 15 af de 22 tilfælde var dataudtrækkene så nøjagtige, at virksomhederne kunne identificere, hvilke personer der var tale om (6).

• Blandt disse udleveringer var et dataudtræk til det private firma CCBR, som i efteråret 2013 fik udleveret navn og adresse på 84.000 danskere med hjertediagnoser. Disse personer fik herefter en henvendelse fra CCBR med oplysning om, at de havde en hjertesygdom, og om de derfor ville deltage i afprøvning af et nyt kolesterolsænkende middel. CCBR havde kun brug for nogle få hundrede forsøgspersoner. Daværende sundhedsminister Astrid Krag kaldte sagen for træls (7).

• Tilsvarende fik Hjerteforeningen, en privat forening, der blandt andet er medlemsfinansieret, i 2013 et udtræk fra Landspatientregisteret med personhenførbare oplysninger om danskere med hjertesygdom. Dette brugte de i 2014 til at udsende et spørgeskema om sygdommen, og samtidig blev deltagerne spurgt, om de havde kendskab til Hjerteforeningen. En sådan henvendelse er for mange i sig selv grænseoverskridende, fordi sygdom er noget privat, men i særdeleshed fordi henvendelsen blandedes sammen med markedsføring (8, 9).

Kræftens Bekæmpelse, en privat forening, fik udtræk fra cancerregisteret af 822 unge med kræftdiagnoser. De unge blev ikke adspurgt om deres diagnoser måtte deles med medarbejdere hos Kræftens bekæmpelse. Der var endda fejl i 30% af diagnoserne. Og derfor fik 247 unge uden kræft, fejlagtigt tilsendt spørgeskema, ”Hvordan er det at være ung med kræft?” (10, 11).

Den meget rundhåndede uddeling af danskernes helbredsdata har fået kritik (12), men sagerne bliver tilsyneladende bare ved.

• Det er dog ikke kun når det gælder sundhedsdata at det offentlig har problemer med holde persondata for sig selv. I 2014 måtte daværende Økonomi- og indenrigsminister Margrethe Vestager (R) kræve en fuldstændig redegørelse omkring lækagen af 900.000 danskeres CPR-numre fra den såkaldte Robinson-liste. De 900.000 danskere, som har haft deres cpr-numre liggende frit tilgængelige på internettet har registreret sig på den såkaldte Robinson-liste, hvor man kan frabede sig at modtage adresserede reklamer (13).

REFERENCER
1. http://politiken.dk/…/fem-millioner-personnumre-blev-ved-e…/
2. http://www.b.dk/…/staten-udleverer-millioner-af-danskeres-p….
3. Aktindsigter som Patientdataforeningen har i hænde.
4. http://www.ssi.dk/Aktu…/Nyheder/2014/2014_DAMDudredning.aspx
5. https://www.dr.dk/…/forbrugerraadet-frygter-diabetes-databa…
6. http://www.b.dk/…/medicinalfirmaer-faar-data-om-dig-fra-sta…
7. https://www.dr.dk/…/astrid-krag-om-udlevering-af-84000-pers…
8. https://anmeld.datatilsynet.dk/fro…/fortegnelse/vis.for.asp…
9. http://docplayer.dk/25157-Hjertekarpatienters-oplevelser-me…
10. https://www.cancer.dk/…/patienten-…/barometerundersoegelsen/
11. http://www.tvmidtvest.dk/node/21143
12. http://nyheder.tv2.dk/2015-03-31-kritik-dine-helbredsoplysn…
13. http://nyheder.tv2.dk/…/2014-07-03-vestager-om-cpr-lækage-e…

Et brev til Danmarks Statistik endte i stedet hos de kinesiske visummyndigheder.
politiken.dk